Qu’est-ce que le clickjacking ? Comprendre la cybermenace cachée

Avez-vous déjà cliqué sur un bouton d’apparence inoffensive pour vous retrouver redirigé vers un endroit inattendu ? Ou bien vous avez appuyé sur « Lire » sur une vidéo et avez fini par l’« aimer » à la place ? Bienvenue dans l’univers du clickjacking, un monde de poudre aux yeux où des cyber-artifices manipulent ce que vous voyez à l’écran. Au-delà de l’agacement, il peut avoir de graves conséquences, allant du détournement de vos comptes de réseaux sociaux au vol de données personnelles. Comment fonctionne le clickjacking et comment l’éviter ? Lisez la suite pour le savoir et restez plus en sécurité en ligne avec les outils de protection et de confidentialité d’Avira Free Security.

Qu’est-ce que le détournement de clics, clickjacking en anglais ?

C’est comme un braquage ou un détournement : vos clics en ligne sont « volés », mais il n’y a pas de cagoule (ni d’avion ou de voiture). Le terme « clickjacking » est un mélange de « clic » et de « jacking » (détournement), ce qui est exactement ce qui se passe : un cybercriminel détourne vos clics et les utilise pour effectuer des actions spécifiques en sa faveur. Il s’agit donc d’un type de cyberattaque sournois qui utilise une interface trompeuse ou invisible pour inciter les utilisateurs à cliquer sur quelque chose de manière involontaire. Il existe plusieurs types d’attaques par détournement de clics, qui portent des noms légèrement différents, tels que « reconfiguration de l’interface utilisateur » ou « attaques par reconfiguration de l’interface utilisateur ».

Quel que soit le nom donné au clickjacking, il s’agit toujours d’une illusion d’optique numérique. Vous pensez cliquer sur un bouton ou un lien inoffensif, peut-être pour regarder une vidéo amusante sur les chats ou bénéficier d’une remise exceptionnelle sur des baskets, mais vous activez en réalité quelque chose de caché. Il pourrait s’agir des actions involontaires suivantes :

• Aimer ou partager un article sans le vouloir
• Activer une webcam ou un micro sans votre autorisation
• Faire des achats en ligne ou effectuer un virement
• Modifier les paramètres du compte
• Partager vos identifiants de connexion ou d’autres informations sensibles
• Consulter des pages web malveillantes ou télécharger des malwares qui fonctionnent en arrière-plan

Comme tout semble normal sur votre écran, vous pourriez ne jamais vous rendre compte de ce qui s’est passé, jusqu’à ce qu’il soit trop tard.

Comment fonctionne le détournement de clics ?

Le détournement de clics exploite une astuce simple : superposer une page web cachée et transparente sur une autre page web pour dissimuler ce que votre clic va réellement réaliser. C’est ce qu’on appelle une attaque par superposition. La fausse couche a son propre code JavaScript et ses propres éléments d’interface utilisateur, de sorte qu’elle peut prendre le relais et fonctionner de manière indépendante. C’est comme un coup d’État silencieux et maléfique. Des utilisateurs peu méfiants navigueront sur la page web, s’attendant à ce qu’elle fonctionne normalement, mais… c’est le script de l’attaquant qui fonctionne à la place !

Les attaquants utilisent des cadres HTML ou des iframes (cadres intégrés) pour réaliser leur escroquerie. Un iframe est un cadre à l’intérieur d’un cadre et permet d’intégrer du contenu provenant d’autres sources dans des pages web. Par exemple, si vous consultez un site web contenant une vidéo YouTube secrètement intégrée, cette vidéo se trouvera dans un iframe.

Les cybercriminels utilisent différentes méthodes pour détourner les clics, mais voici la structure classique d’une attaque :

Étape 1 : Ils créent une page web malveillante. Il peut s’agir de n’importe quoi, d’une fausse page de promotion ou d’un article de presse d’apparence innocente. L’iframe invisible sera soigneusement positionné de manière à ce que son bouton factice se trouve directement au-dessus du bouton réel (ou du téléchargement d’un malware). Les pirates utilisent diverses techniques pour faire en sorte que les sites web soient à leur service. Le cross-site scripting (XSS) peut être utilisé pour manipuler des formulaires en ligne, des pages web et même des serveurs.

Étape 2 : Ils incitent leurs cibles à visiter la page web factice. Maintenant que le piège a été tendu, les attaquants utilisent souvent des tactiques d’ingénierie sociale, comme de faux e-mails, des escroqueries par WhatsApp et des escroqueries par téléphone, pour attirer les victimes. Ils peuvent dire aux victimes qu’elles ont gagné un iPhone ou qu’elles doivent se connecter d’urgence à leur compte bancaire pour résoudre un problème de sécurité. 

Étape 3 : La victime effectue l’action souhaitée. Il est maintenant temps pour l’innocent visiteur du site web de terminer son travail de marionnette. Il peut par exemple cliquer à l’endroit voulu par le pirate ou saisir ses données personnelles.  Il pense interagir avec ce qu’il voit, mais ses clics et ses saisies atterrissent ailleurs.

Clickjacking ou cursorjacking ? Quelle est la différence ?

Il se peut que vous entendiez également parler de cursorjacking, voici donc une explication rapide de ce qui le différencie des autres variantes de clickjacking. Le cursorjacking est un type d’attaque par détournement de clic, il appartient donc à la même famille dangereuse, mais il se produit lorsqu’un malfaiteur (c’est-à-dire un pirate ou un autre type de cybercriminel) remplace un curseur réel par un faux curseur. La victime voit son curseur à un endroit alors qu’il pointe en fait sur quelque chose d’autre, ce qui l’amène à cliquer accidentellement là où le pirate l’avait prévu (très probablement sur un lien malveillant ou une pièce jointe infectée).

Quels sont les objectifs du détournement de clics ?

Les interfaces utilisateur peuvent être masquées par de nombreux types de liens et de couches invisibles, ce qui offre aux cyberattaquants créatifs de nombreuses possibilités. Quels sont donc leurs objectifs ? Comme vous l’avez compris, le vol est généralement le but recherché, qu’il s’agisse de votre argent ou de vos données.

• Voler des identifiants de connexion : vous pensez saisir votre mot de passe sur un site fiable, mais il est en fait envoyé à un pirate.
• Diffuser des escroqueries sur les réseaux sociaux : les attaquants vous incitent à aimer ou à partager un message ou des liens d’hameçonnage afin qu’il devienne viral et qu’ils obtiennent plus de vues et d’interactions.
• Accroître le nombre d’abonnés sur les réseaux sociaux : lorsque vous aimez ou partagez par inadvertance un message ou suivez un compte, vous contribuez à accroître la popularité de ce compte, lui conférant ainsi une plus grande crédibilité, de même qu’aux produits qu’il peut recommander. Ne vous retrouvez pas dans la campagne de marketing de quelqu’un d’autre ! Lorsque le bouton « J’aime » de Facebook est manipulé, on parle de « likejacking ».
• Inciter les utilisateurs à faire des achats : vous pouvez penser que vous cliquez sur « Voir plus », mais vous pourriez finir par effectuer des transactions réelles, comme l’achat d’un produit douteux.
• Activer une webcam ou un micro : dans certains cas, les attaquants utilisent le clickjacking pour s’octroyer l’accès à l’appareil photo ou au micro de votre appareil (audiojacking). Ils peuvent alors enregistrer des réunions, en apprendre davantage sur vous, votre entreprise et vos clients, voire vous faire du chantage.
• Télécharger des malwares : en cliquant sur un bouton déguisé, vous pourriez accepter de télécharger un malware (comme un adware ou même un ransomware), qui s’installe alors discrètement sur votre appareil.
• Accéder aux fichiers du disque dur de la victime : bienvenue dans le monde du détournement de fichiers, ou filejacking. Les attaquants utilisent votre navigateur web pour parcourir votre ordinateur et voler des données personnelles.
• Voler les cookies de navigateur : ces traces numériques de votre historique de navigation peuvent aider les pirates à obtenir un accès non autorisé à vos comptes en ligne, ce qui leur donne la liberté d’effectuer des achats ou même d’usurper votre identité. Il est conseillé d’effacer les cookies pour aider à éviter le cookiejacking.
• Révéler l’emplacement d’une personne : en se fondant sur votre adresse IP, un pirate peut déterminer votre emplacement approximatif. Il peut également installer des spywares, ou logiciels espions, ou d’autres malwares pour mieux comprendre la situation. Sur la base de votre emplacement, il est possible de vous faire parvenir des escroqueries personnalisées, d’usurper votre identité, de suivre vos déplacements, d’identifier l’adresse de votre domicile et même de vous harceler.

Quels sont les signes indiquant que vous pourriez être victime de clickjacking ?

Bien que les manipulations de détournement de clics soient conçues pour être invisibles, il y a tout de même quelques signaux d’alarme à surveiller. Voici quelques questions rapides qui vous aideront à démasquer une éventuelle attaque :

• Avez-vous remarqué une activité inattendue sur les réseaux sociaux ? Par exemple, avez-vous récemment « aimé » une page ou un message ou suivi un compte sans vous en souvenir ?
• Êtes-vous soudainement confronté à des fenêtres publicitaires intempestives ou à des redirections de pages ? Vous cliquez  quelque part et vous vous retrouvez dans un nouvel endroit étrange.
• Vous cliquez sur un bouton, mais rien ne se passe ? C’est ce qu’on appelle le clic fantôme, qui peut indiquer qu’une couche cachée est en jeu.
• Votre navigateur est-il devenu un peu fou ? Avez-vous remarqué des téléchargements inattendus, des tentatives de connexion inconnues ou des demandes d’autorisation étranges pour votre appareil photo ou votre micro ?
• Le design ou les boutons d’un site web ne vous semblent pas corrects ? Si un élément d’un site web semble bizarrement placé ou légèrement transparent, cela peut être le résultat d’un designer peu doué ou signifier qu’une superposition est à l’œuvre. Soyez prudent lorsque vous cliquez.

Si vous avez répondu « oui » à l’une des questions ci-dessus, il se peut que vous soyez victime d’une attaque de type détournement de clics. Agissez rapidement pour évaluer les dégâts et aider à éviter tout autre problème. Exécutez une analyse avec une solution antimalware réputée comme Avira Free Antivirus. Modifiez les mots de passe des comptes concernés et assurez-vous qu’ils sont forts et uniques. Un gestionnaire de mots de passe comme Avira Password Manager peut le faire à votre place et vous aide à les stocker en toute sécurité. Avira Free Security regroupe ces outils et d’autres solutions essentielles de protection et de confidentialité en ligne.

Surveillez de près vos relevés de compte et de carte de crédit, et contactez immédiatement votre banque et les autorités locales compétentes si vous soupçonnez une fraude.

Pour les amateurs de technique : protection contre le détournement de clic pour les équipes IT

Il existe deux méthodes générales que les équipes informatiques mettent en œuvre pour aider à lutter contre le détournement de clics.

Protection contre le détournement de clics côté client

Les méthodes côté client visent à empêcher les attaquants de tromper les utilisateurs par l’intermédiaire de leur navigateur. Un moyen efficace consiste à utiliser des techniques JavaScript interdisant l’ouverture de la page dans un iframe. Ces techniques détectent lorsqu’une page est intégrée dans un iframe et l’obligent à s’en détacher. Par exemple, un simple script peut vérifier si la page est dans un iframe et rediriger l’utilisateur vers le site principal. Malheureusement, ces méthodes ne sont pas infaillibles, car des attaquants habiles peuvent les désactiver ou les neutraliser.

Protection contre le détournement de clics côté serveur

Les défenses côté serveur sont souvent considérées comme plus robustes et plus fiables. L’une des méthodes les plus répandues consiste à utiliser des en-têtes HTTP, comme la directive frame-ancestors, qui fait partie de la politique de sécurité du contenu (Content Security Policy, CSP). Elle indique au navigateur si une page web peut être chargée à l’intérieur d’un iframe. L’en-tête X-Frame-Options contribue également à contrôler cette situation, bien qu’il ait été largement remplacé par les directives CSP. L’en-tête X-Frame-Options prend en charge des valeurs telles que SAMEORIGIN, qui permet à une page web d’être insérée dans un iframe uniquement par des pages de même origine, ce qui contribue à empêcher l’intégration malveillante par des sites tiers.

Pour une sécurité encore plus grande, les sites web peuvent combiner l’élimination des iframes avec l’authentification de l’utilisateur. Par exemple, le déploiement d’un CAPTCHA avant d’effectuer des actions sensibles peut empêcher les utilisateurs d’effectuer des modifications par inadvertance. Les directives de sécurité d’organisations telles que l’OWASP recommandent d’utiliser plusieurs niveaux de protection pour réduire le risque d’attaques par détournement de clics.

En outre, certains modules complémentaires du navigateur aident à détecter et bloquer les iframes cachés, offrant ainsi aux utilisateurs une étape supplémentaire de défense contre les menaces de détournement de clics.

Ensemble, les méthodes côté client et côté serveur contribuent à rendre les sites web plus efficaces pour bloquer les attaques par détournement de clics, afin de mieux protéger les clics des utilisateurs.

Comment vos actions en ligne aident à vous protéger contre le détournement de clics

Une bonne connaissance de l’ingénierie sociale peut aider à déjouer le clickjacking, qui est une méthode d’attaque préférée des pirates. Comme toujours, suivez des règles de bon sens et les bonnes pratiques d’Internet pour rester plus en sécurité en ligne.

• Soyez vigilant en ligne et suivez attentivement vos profils de réseaux sociaux et vos comptes en ligne afin d’être plus à même de remarquer une activité inhabituelle.
• Réfléchissez avant de cliquer. Méfiez-vous si quelque chose vous semble trop beau pour être vrai, comme un gain surprise ou une réduction incroyable. Ne cliquez pas sur les fenêtres publicitaires, en particulier sur les sites inconnus. Le clickjacking basé sur les SMS (un type de smishing) devient de plus en plus courant. Évitez donc de répondre à des SMS provenant d’expéditeurs inconnus. Si vous êtes tenté de cliquer, survolez d’abord le lien pour révéler l’URL réelle et voir où il mène.
• Utilisez un bloqueur de publicités. Les publicités malveillantes peuvent être le vecteur d’attaques par détournement de clics. Un bon bloqueur de publicités peut aider à les freiner afin de les empêcher de s’afficher.
• Désactivez les scripts sur les sites web douteux. Certains navigateurs comme Avira Secure Browser sont dotés de fonctions de sécurité intégrées et contribue au blocage de l’exécution de scripts nuisibles en arrière-plan. Ils peuvent également contribuer à bloquer le chargement des publicités et des sites web dangereux.

• Activez les paramètres de sécurité du navigateur. Les navigateurs tels que Chrome et Firefox offrent une certaine protection contre le détournement de clics. Pensez à les mettre à jour et à activer les fonctions de sécurité et de protection de la confidentialité. N’ignorez pas les avertissements du navigateur sur les sites que vous consultez. Si l’on vous avertit de ne pas poursuivre, tenez compte de l’avertissement. Consultez notre guide sur la façon de vérifier la sécurité d’un site web.
• Activez l’authentification à plusieurs facteurs. L’ajout d’une deuxième ligne de défense avec une authentification à plusieurs facteurs (comme un code d’accès envoyé par SMS ou par e-mail) garantit que les cybercriminels sont bloqués même s’ils volent votre mot de passe.

Profitez d’une protection gratuite et robuste sous la forme d’une solution unique et pratique

Il est essentiel de faire appel à des renforts technologiques de confiance pour renforcer votre protection contre les cybercrimes, notamment le détournement de clics. Avira Free Security combine un puissant antivirus, un gestionnaire de mots de passe, un outil de mise à jour logicielle, un VPN, et plus encore, pour constituer une défense à plusieurs niveaux contre les menaces en ligne, même les plus récentes. Contribuez à protéger tous vos appareils avec Free Security pour Windows, la solution de sécurité pour Mac, l’application de sécurité pour les appareils iOS, ou l’application antivirus pour les téléphones et tablettes Android.

Le détournement de clics n’attire pas autant l’attention que d’autres cybermenaces, comme le phishing, mais il peut être tout aussi dangereux, car vous ne vous en rendez peut-être même pas compte. Veillez à la sécurité de votre navigateur et de votre appareil et restez vigilant pour aider à éviter de tomber dans ces pièges invisibles.

Et n’oubliez pas : ce n’est pas parce que vous voyez quelque chose sur votre écran que c’est réel.